wachiwit - stock.adobe.com
Tipps für das sichere Teilen von Office-365-Dokumenten
Möglichst einfache Zusammenarbeit hat auch ihre Tücken: Berechtigungen und Zugriffe sind nicht mehr nachvollziehbar. Diese Tipps helfen Daten sicher zu verwalten und zu teilen.
Die geschäftliche Nutzung von Office 365 steigt nach wie vor: Anfang 2019 verwendeten weltweit knapp 200 Millionen Menschen die Software. Und auch Microsofts Collaboration-Plattform Teams, die in der Office 365 Suite integriert ist, findet immer mehr Nutzer. So arbeiten damit aktuell 420.000 Firmen aller Größenordnungen, darunter sind 89 Großkonzerne aus der „Fortune 100“-Liste.
Beides kommt nicht von ungefähr: Microsoft Office 365 verfügt über zahlreiche Kollaborationsfunktionen, die für den digitalen Arbeitsplatz unerlässlich sind: Anwender sind in der Lage, Dokumente mit ihren Kollegen zu teilen und gemeinsam zu bearbeiten, können Feedback anfordern und Links veröffentlichen, damit andere auf ihre Inhalte und mehr kollaborative Funktionen zugreifen können.
Aber das Teilen und diese Art der Zusammenarbeit haben ihren Preis: Oft weiß man gar nicht, was man überhaupt mit wem teilt. Und so wird Office 365 gerne im Laufe der Zeit zu einem Durcheinander von öffentlich zugänglichen Links, ungehindertem Zugriff auf sensible Daten und kaum nachzuvollziehenden Berechtigungen.
Mit den folgenden sechs praxiserprobten Tipps sind Unternehmen jedoch in der Lage, ihre Daten in Office 365 sicher zu verwalten und gleichzeitig den nötigen Zugang zu gewähren.
1. Bestehen Sie auf Multifaktor-Authentifizierung
Multifaktor-Authentifizierung (MFA) ist mittlerweile eine recht grundlegende Schutzmethode und fast so etwas wie ein Standard geworden. Dennoch sollte sie hier nicht unerwähnt bleiben, da viele Unternehmen nach wie vor oftmals aus Bequemlichkeitsgründen diese nicht implementiert haben.
MFA hilft Ihnen zu überprüfen, ob Ihre Benutzer die sind, für die sie sich ausgeben, aber es ist keineswegs unüberwindbar.
2. Setzen Sie ein Least-Privilege-Modell durch
Ein Privilegienmodell auf Basis der minimalen Rechtevergabe bedeutet, dass jeder Benutzer nur den Zugriff erhält, den er tatsächlich für seine Arbeit benötigt (Need-to-Know-Prinzip). Die Reduzierung der Zugriffsrechte bedeutet einen großen Beitrag zur Sicherheit Ihrer Daten.
Wie geht man hierzu am besten vor? Organisieren Sie Benutzerkonten in Ihrem Unternehmen in Gruppen mit ähnlichen Funktionen (beispielsweise IT, HR, Finanzen, Entwicklung etc.), und diesen Gruppen werden Berechtigungen für den Zugriff auf ihre Daten in Office 365 erteilt. Entsprechend sollten keine individuellen Benutzerkonten auf Zugriffskontrolllisten (ACL) in Office 365 erlaubt werden. Benennen Sie einen Datenverantwortlichen für jede Gruppe.
Dieser ist für die Genehmigung neuer Gruppenmitglieder verantwortlich und überprüft auch regelmäßig, ob noch alle Berechtigungen nötig sind (beispielsweise falls ein Mitarbeiter die Abteilung oder gar das Unternehmen verlassen hat). Dieser „Group Owner“ ist nicht Teil der IT-Abteilung, sondern gehört der entsprechenden Abteilung an und hat somit einen besseren Einblick, wer (wie lange) Zugriff auf was benötigt.
Verweigern Sie allen Nicht-Gruppenmitgliedern den Zugriff auf Daten über ACLs. Verwenden Sie auch keine Berechtigungen für eingeschränkten Zugriff oder Nur Ansicht: Nicht-Mitglieder müssen den Zugriff von einem Gruppenmitglied unter Verwendung der Regeln für die Dateifreigabe beantragen. Für öffentlich zugängliche Dokumente sollte eine separate Public SharePoint-Site erstellt werden, wobei diese von den Team-Websites strikt getrennt sein muss.
3. Klassifizieren Sie sensible Daten, die in SharePoint Online gespeichert sind
Scannen Sie Ihre Office-365-Dateien und identifizieren Sie so geistiges Eigentum, personenbezogene Daten (PII) und Informationen, die Compliance-Anforderungen unterliegen (wie DSGVO, HIPAA und ähnliche). Sobald Sie die Dateien korrekt gekennzeichnet haben, können Sie sicherstellen, dass diese nicht über zu weit gefasste Zugriffsrechte (siehe Punkt 2) verfügen und so getaggt sind, dass auch andere Sicherheits-Tools die Daten als besonders sensibel erkennen und entsprechend behandeln können.
So kann man beispielsweise vertrauliche Dokumente (automatisch) verschlüsseln und Regeln einrichten, damit diese nicht heruntergeladen werden können.
4. Verhindern Sie das Herunterladen auf nicht verwaltete Geräte
Dies ist generell eine gute Herangehensweise: Behalten Sie Ihre Daten so weit es geht unter Ihrer Kontrolle, das heißt in Ihren Systemen. Eine Möglichkeit, dies zu tun, besteht darin, das Herunterladen von Daten auf Geräte zu verhindern, die Ihr IT-Team nicht verwaltet. Für die berechtigten Nutzer bedeutet dies, dass sie die Daten zwar auf ihren nicht-autorisierten Geräten in Ihrem Browser einsehen können, aber eben nicht speichern (und damit vervielfältigen) können.
5. Begrenzen und überprüfen Sie externe Freigaben
Wie bereits erwähnt, müssen Sie alles in Ihrer Macht Stehende tun, um die Verbreitung Ihrer Daten nach außen zu begrenzen. Gleichzeitig dürfen Sie aber die Bedürfnisse und Anforderungen der Nutzer, diese Dateien intern und extern zu teilen und damit erst eine Zusammenarbeit zu ermöglichen, nicht außer Acht lassen.
Wie bekommt man diese beiden (entgegengesetzten) Ziele unter einen Hut? Besonders das Teilen per Freigabelink ist nicht unproblematisch: In Office 365 können Benutzer einen solchen Link erstellen, den sie an andere Benutzer senden, damit sie das gleiche Dokument sehen können. Diese Links können jedoch gestohlen, abgefangen oder für Brute-Force-Angriffe genutzt werden, um den Zugriff auf diese Dateien (oder Ordner) zu ermöglichen.
Um Ihre Daten so sicher wie möglich zu halten, sollten Sie zunächst verhindern, dass Benutzer Verknüpfungen zur Ordnerfreigabe erstellen, die den Zugriff auf mehrere Dateien ermöglichen, entweder extern oder intern. Wenn ein Benutzer auf Dateien zugreifen muss, die einer anderen Gruppe gehören, sollte er den Zugriff vom entsprechenden Datenverantwortlichen (Group Owner) anfordern.
Nicht-sensible Dateien können extern freigegeben werden. Wenn Sie jedoch sensible Dateien für Dritte freigeben müssen, fügen Sie diese als Gäste in Ihrem Azure AD hinzu und gewähren Sie ihnen auf diese Weise entsprechenden Zugriff.
„Grundsätzlich darf es für die Sicherheit und Integrität der Daten keine Rolle spielen, wo diese gespeichert beziehungsweise bearbeitet werden.“
Klaus Nemelka, Varonis
Da sie Gäste sind und in der Gruppenmitgliedschaft aufgeführt sind, werden die Group Owner die Liste überprüfen und gegebenenfalls die zusätzlichen Benutzer entfernen. Als nächstes stellen Sie alle vom Benutzer erstellten Links so ein, dass sie nach ein paar Tagen (maximal einer Woche) ablaufen. Dies bedeutet zwar, dass Ihre Benutzer möglicherweise mehr als einen Link generieren müssen, um an einer Datei mitzuwirken, aber es bedeutet auch, dass die Anzahl der Links zu Ihren Daten nicht unendlich wächst. Wenn diese Links organisch ablaufen, beseitigen Sie das Risiko einer Infiltration kontinuierlich.
6. Überwachen Sie SharePoint Online auf Missbrauch
Schließlich sollten Sie die Zugriffe auf Office 365 auf mögliche Datenschutzverletzungen oder Angriffe, sei es von Innentätern oder Externen, überwachen. Verfolgen Sie dazu die Datei- und Ordneraktivität, Änderungen an der Gruppenzugehörigkeit, Administratoraktivitäten und ähnliches. Dabei sollte der Netzwerkverkehr mit den überwachten Dateien korreliert werden, um mögliche (auch fortschrittliche) Cyberangriffe zu erkennen.
Grundsätzlich darf es für die Sicherheit und Integrität der Daten keine Rolle spielen, wo diese gespeichert beziehungsweise bearbeitet werden. Die Realität in den meisten Unternehmen ist ohnehin hybrid: Dateien werden sowohl lokal als auch in der Cloud gespeichert.
Hier kann nur durch eine entsprechende durchgehende Transparenz sichergestellt werden, dass nur die richtigen Personen zu jeder Zeit Zugriff auf die Daten haben – völlig unabhängig vom Speicherort. Durch eine intelligente Nutzerverhaltensanalyse (UBA), die beide Bereiche umfasst, ist man zudem in der Lage, abnormales, auffälliges Verhalten zu identifizieren sowie (automatisch) zu unterbinden – und damit die Balance zwischen Sicherheit und einfacher Zusammenarbeit herzustellen.
Über den Autor:
Klaus Nemelka ist Technical Evangelist von Varonis Systems.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.